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Beschreibung 
Prozessmessgerat mit erweiterter Hardwarefehlererkennung 

[001] Die vorliegende Erfindung betrifft ein Prozessmessgerat, insbesondere ein Prozess- 
messgerat mit erweiterter Hardwarefehlererkennung. 

[002] Die Zertifizierung eines Prozessmessgerates nach der Norm IEC61508; (SIL2) 
erfordert, dass am Gerat eventuell auftretende Hardware-Defekte mit hoher Wahr- 
scheinlichkeit erkannt und als Fehlerzustand an einen Messwertempfanger signalisiert 
werden. Der statistische Anteil von Fehlern, die zu einer korrekten Signalisierung des 
Fehlerzustands an den Messwertempfanger fiihrt, wird SFF (nach dem englischen 
Begriff Safe Failure Fraction) bezeichnet. 

[003] Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, ein Prozessmessgera 
t mit einer Im Sinne einer hohen Erkennungswahrscheinlichkeit im Falle von Hardwa- 
refehlern bereitzustellen. 

[004] Statistische Analysen der Fehlerhaufigkeit haben ergeben, dass insbesondere 

Prozessoren und andere hochintegrierte Halbleiterbauteile, beispielsweise Speicher und 
ASICS, maBgeblich zur statistischen Gesamtausfallrate eines Prozessmessgerates 
beitragen. 

[005] Die Aufgabe wird gelost durch ein Prozessmessgerat mit einem ersten Prozessor, 
welcher in ersten Verarbeitungszyklen mit einem ersten Algorithmus eine Messwert- 
verarbeitung durchfiihrt; und einen zweiten Prozessor* welcher hauptsachlich fiir die 
Koordination und/oder Kommunikation zustandig ist, 

[006] wobei ferner der zweite Prozessor in Zeitabstanden, die grofier sind als der erste 
Verarbeitungszyklus einen Kontrolldatensatz aus dem ersten Prozessor ausliest, und 
anhand des Kontrolldatensatzes den ersten Algorithmus ausfiihrt und die korrekte 
Funktion des ersten Prozessors verifiziert 

[007] Der erste Prozessor ist vorzugsweise ein spezialisierter digitialer Signalprozessor mit 
sehr schnellen Verarbeitungszyklen. Der zweite Prozessor ist beispielsweise ein Micro- 
controller, der erheblich klangsamer arbeitet als der digitale Signalprozessor. 

[008] Der Kontrolldatensatz kann beispielsweise Rohmesswerte eines Sensors und Zu- 
standsvariablen sowie die von dem ersten Prozessor daraus eixechneten zugehorigen 
Ergebniswerte enthalten. Die Verifizierung erfolgt beispielsweise durch direkten 
Vergleich des aus dem ersten Prozessor ausgelesenen Ergebnis mit dem Ergebnis aus 
der Durchflihrung des ersten Algorithmus durch den zweiten Prozessor. 

[009] Der zweite Prozessor umfasst einen Programmspeicher. Zusatzlich kann der zweite 
Prozessor gemaB einer Weiterbildung der Erfindung seinen Programmspeicher mittels 
einer Prufsumme oder einem CRC (nach englischen Begriff Cyclic Redundancy 
Check) regelmaBig verifizieren. 
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[010] Der zweite Prozessor umfasst weiterhin einen Schreib/Lesespeicher, den der zweite 

Prozessor gemaB einer Weiterbildung der Erfindung mittels Testpattern regelmaBig auf 

statische Fehler tibeipriifen kann. 
[01 1] Der zweite Prozessor umfasst zudem ein Rechenwerk, einen Schreib/Lesespeicher, 

welchen der zweite Prozessor gemaB einer Weiterbildung der Erfindung mittels Pru f al- 

gorithmen regelmaBig auf statische Fehler iiberprtifen kann. 
[012] In einer Weiterbildung der Erfindung kann der zweite Prozessor die Daten im Pro- 

grammspeicher des ersten Prozessors mit einem lokal gespiegelten Speicherbereich 

vergleichen und verifizieren. 
[01 3] Nach einem Aspekt der Erfindung kann der zweite Prozessor bekannte Konstanten 

im Datenspeicher des ersten Prozessors durch Vergleich mit lokal gespiegelten Werten 

verifizieren. 

[014] Nach einem weiteren Aspekt der Erfindung kann, der zweite Prozessor Konfigurati- 
onsregister des ersten Prozessors durch Vergleich mit lokal gespiegelten Werten 
regelmaBig verifizieren. 

[015] In einer Ausgestaltung der Erfindung umfasst das Prozessmessgerat eine 4..20 mA 
Zweitdraht-Schnittstelle. Optional kann eine Watchdog-Schaltung die Funktion des 
zweiten Prozessors und eines zugehorigen Taktgebers uberprufen und im Fehlerf all 
unabhangig von dem ersten Prozessor und dem zweiten Prozessor iiber den 4..20 mA 
Signalstrom einen Fehler signalisieren. 

[016] Die Erfindung wird nun an eiriem in den Figuren dargestellten Ausflihrungsbeispiel 
erlautert. Es zeigt: 

[017] . Fig. 1 : Ein Blockschaltbild der Gerateelektronik 

[018] eines erfindungsgemaBen Druckaufnehmers; und 

[019] Fig. 2: Ein Blockschaltbild zur Selbstuberwachung. 

[020] Die in Fig. 1 . dargestellte modulare Gerateelektronik des erfindungsgemaBen 

Druckaufnehmers umfasst eine Sensorelektronik 1 und eine Hauptelektronik 2. Die 
Hauptelektronik 2, verarbeitet Sensorsignale, welche uber eine serielle Schnittstelle 
von einer Sensorelektronik empfangen werden. 

[021] Die Sensorelektronik umfasst im einzelnen ein Sensor- ASIC 12 , dessen we- 

sentliche Aufgabe es ist, Druck- sowie Temperatursignale einer Druckmesszelle 1 1 
bzw. eines Primarsensors entgegenzunehmen und ggf . ihre Signalpegel zu normieren. 
Dazu stehen - je nach Messprinzip des Primarsensors - eine Stromquelle fUr resistive 
Sensoren und eine kapazitive Schnittstelle fur kapazitive Drucksensoren zur VerfQ 
gung, an die jeweils absolut/relativ oder Differenzdruckmesszellen angeschlossen 
werden konnen. Die Normierung erfolgt uber einstellbare Verstarker, sogenannte „ Pro- 
grammable Gain Amplifieres" (PGA), in den Ausfiihrungen als Differenz und Absolut- 
verstarker. Danach werden die normierten Werte analog/digital (A/D) gewandelt und u 



WO 2005/064424 
EH0674-WO 



PCT/EP2004/053514 



3 

ber eine serielle Schnittstelle an die Hauptelektronik 2 weitergegeben. Sensor- 
spezifische Daten wie Kompensationskoeffizienten u. a. auf einem Sensor-EEPROM 
13 abgelegt. 

[022] Das ASIC 12 ist in der Lage, tiberlaufe in den internen Verstarkern und A/ 

D-Wandlern zu erkennen und diese ebenfalls iiber die serielle Schnittstelle in Form 
eines Fehlertelegramms an die Hauptelektronik 2 zu melden. 

[023] Die Hauptelektronik 2 umfasst im wesentlichen folgende Komponenten: 

[024] Einen Druckprozessor 21 (ASIC mit integriertem Digitalen Signal Prozessor 

(DSP)), der u. a. als serielles Interface zur Sensorelektronik 1 wirkt, deren Rohdaten 
empfangt, und daraus den Ausgangswertberechnet. Je nach Betriebsart kann der Aus- 
gangswert entweder Druck, Fullstand oder Durchfluss reprasentieren. Das Re- 
chenergebnis wird beispielsweise als pulsweitenmoduliertes Signal (PWM) be- 
reitgestellt Eine weitere Funktionalitat des Prozessors 21 ist die Generierung des 
Taktsignals fur die koraplette Messumformerelektronik. 

[025] Die Hauptelektronik umfasst weiterhin einen Kommunikations-ASIC 22; dieser 
Baustein dient als Schnittstelle des Messumformers zur AuBenwelt. In ihm integriert 
ist ein DC/DC-Wandler zur Stromversorgung des gesamten Gerates und ein 
Stromsteller, der aus dem PWM~Signal des Druckprozessors den entsprechenden 
Stromwert auf eine 4— 20mA Stromschleife einpragt. Weiterhin sind in ihm ein HART- 
Modem fur die Kommunikation auf Feldebene, eine hochgenaue Spannungsreferenz 
sowie ein Hardware-Watchdog integriert. 

[026] Weiteihin umfasst die Hauptelektronik einen Microcontroller 25, welcher fiir die 
Initialisierung des Messprozessors benotigtwird. Im Regelbetrieb wird iiber ihn 

[027] die Vor-Ort-Bedienung mittels Taster bzw. Fernbedienung tiber HART realisiert. 
Zu diesem Zweck kann auch noch ein Display 23 vorgesehen sein. 

[028] Weitere Funktionen des Microcontrollers 25 konnen beispielsweise Fehlerver- 
arbeitung, Umrechnung der Messdaten in vom Benutzer eingestellte Einheiten, 
Triggern eines Watchdogs im Kommunikations-ASIC, Protokollieren von Min/ 
Max-Werten und der Messbereichsuberschreitung, Summenzahler fiir den Modus „ 
Durchfluss", und Nichtfliichtige Datenhaltung sein. 

[029] Beim Druckprozessor 21 handelt es sich um ein ASIC mit einem integrierten 
digitalen Signalprozessor. Seine Starke liegt in der schnellen und auBerst energie- 
sparenden Berechnung der Messwerte. Unter Vollast betragt die Stromaufhahme des 
Druckprozessors ca. 600 pA. 

[030] Der Microcontroller 25 ist zwar prinzipiell auch in der Lage, diese Berechnungen 
durchzufuhren, allerdings wiirde er bei gleicher Berechnungsgeschwindigkeit ein 
Vielfaches an Energie verbrauchen; zu viel fur ein Gerat, das seine Versorgung aus 
einer 4-20mA Stromschleife bezieht Eingesetzt wird der Microcontroller in den 
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Bereichen, wo es nicht auf zeitkritische Berechnungen ankommt Dadurch ist es m5 
glich, den Baustein mit einem stark reduzierten Takt zu betreiben, urn den Strom- 
verbrauch auf ein vertragliches MaB zu senken. 
[03 1] Bei der Gerateinitialisierung ist folgende Besonderheit zu beachten. Da es mehrere 
verschiedene Sensorbaugruppen und Hauptelektronikvarianten gibt, ware es ein zu gro 
Ber Aufwand, fur jede mOgliche Kombination von Sensor und Elektronik eine 
passende Softwarelosung bereitzustellen. Dies wird dadurch umgangen, dass man die 
Software in zwei Teile auftrennt, namlich in einen sensor- und einen applikationsspe- 
zifischen Teil. 

[032] Der sensorspezifische Teil ist auf der Sensorelektronik in einem Sensor-EEPROM 
13 gespeichert. Erhalt die Sensorik die ersten Taktsignale von der Hauptelektronik, so 
liest sie ihren Programmteil aus dem EEPROM aus und schickt ihn uber die serielle 
Verbindung an die Hauptelektronik. Dort wird das Sensorprogramm vom Micro- 
controller 25 aus dem DSP 21 ausgelesen und mit dem applikationsspezifi-schen 
Programm veibunden, das er aus dem Programmspeicher der Hauptelektronik erhalt 
Die beiden Programmteile werden dann miteinander verbunden, d.h. die Offsets der 
Adressen im Speicher werden so verandert, dass verschiedene Variablen nicht die 
gleichen Speicherbereiche verwenden. Nach Abschluss dieses Vorgangs wird das nun 
komplettierte Programm zuriick in den DSP geschrieben. Danach werden lediglich 
noch die Konfigurationsparameter der Messumformung in den Datenspeicher des DSP 
geladen, der Messumformer ist nun einsatzbereit und berechnet aus den daraufhin ein- 
treffenden Rohdaten die Messwerte. 

[033] Die erfindungsgemaBen Druckaufhehmer erfiillen vorzugsweise die Anforderungen 
an Funktionale Sicherheit bis SIL 2 nach IEC 61508. Die Norm stellt quantitative An- 
forderungen hinsichtlich der Einhaltung von Mindestwerten fur sicherheitstechnische 
KenngroBen wie Safe Failure Fraction (SFF) an die Gerate. Zur Erfullung der quan- 
titativen Anforderungen (z.B. SFF > 90%) sind in der Regel zusatzliche DiagnosemaB 
nahmen und Uberwachungsfunktionen im Gerat erforderlich. Uber eine FMEDA 
(Failure Mode, Effects and Diagnostics Analysis) der Elektronik auf Kompo- 
nentenebene mit nachfolgender Optimierung wurde die Selbstiiberwachung, deren 
Konzept im folgenden beschrieben ist, als Beitrag zur Erfullung der SBL2 Norm iden- 
tifiziert. 

[034] Die Selbstiiberwachung besteht aus einem Softwarepaket, mit dem unter anderem 
CRCs (Cyclic Redundancy Check) und Priif summen von RAM und ROM des Micro- 
controllers sowie des EEPROM realisiert werden. 

[035] Die Selbstiiberwachung umfasst weiterhin eine stichprobenartigen Kontrolle der 

Funktion des DSP durch eine Kontrollrechnung im Microcontroller. Dazu miissen, wie 
in Fig. 2 gezeigt, die Eingangswerte und Zustandsvariablen sowie der Ausgangswert 
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aus dem DSP 21 ausgelesen werden. Aus den Eingangswerten und den Zustands- 
variablen wird der Ausgangswert berechnet, den der DSP ausgeben miisste. Danach 
wird der gemessene mit dem berechneten Ausgangswert verglichen. Kommt es dabei 
zu Differenzen, so wird dies an iibergeordnete Kontrollinstanzen in der Software des 
Messumformers gemeldet, die ihrerseits veranlassen, dass der Kommunikations-ASIC 
22 ein Fehlersignal (HART) ausgibt. Anhand dieses Signals erkennt das Auswertegera 
t, an dem der Messumfoimer angeschlossen ist, den Geratefehler und leitet die 
notwendigen MaBnahmen ein, wie eine Meldung zum Austausch des defekten Gerates. 

[036] Der DSP 21 auf der Hauptelektronik fuhrt sehr schnelle Berechnungen durch. Um 
nun diesen Baustein iiberwachen zu konnen, wird eine Baugruppe benotigt, die 
zumindest ebenso schnell die Berechnungen durchfuhren oder zumindest die Daten des 
DSP kann. Es wurde im vorliegenden Ausfiihrungsbeispiel die Selbstiiberwachung 
durch den Microcontrollers 25 gewahlt. Diese Losung beinhaltet die Kontrollrechnung 
seitens des Microcontrollers 25. Sie kommt ohne zusatzliche Hardware aus und sorgt 
dabei noch mit diversitarer Hardware fiir eine erweiterte Sicherheit. Die geringere Ge- 
schwindigkeit des Microcontrollers 25 verhindert es aber, die Berechnungen des DSP 
in Echtzeit durchzufuhren. Dies ist zu beriicksichtigen. 

[037] Der Microcontroller 25 fuhrt daher nur Stichproben durch. Der einzig zeitkritische 
Vorgang ist dabei das Einlesen der Zustandsvariablen (zwischengespeicherte Werte 
des letzten MeBzyklus) und der Druck- und Temperaturrohdaten der Sensorelektronik 
sowie des berechneten Ausgangswertes des DSP 21. Die nachfolgende Berechnung des 
Ausgangswertes im jiC ist praktisch zeitunabhSngig, sie kann beliebig oft durch andere 
Programmteile unterbrochen werden. 

[038] Die Selbstiiberwachung besteht in der Hauptsache aus drei Programmteilen: 

[039] Einer Hauptroutine, der Erfassung der Messwerte, und einer eigenstandigen 

Berechnung mit anschlieBendem Vergleich. Die komplette Selbstiiberwachung ist in 
Form von Zustandsmaschinen realisiert, wobei fiir die Erfassung und die Berechnung 
absichtlich zwei getrennte Prozesse eingesetzt werden. Dies ermoglicht eine unter- 
schiedliche Priorisierung der beiden Vorgange auf Interruptebene. Die Messwer- 
terfassung bedarf einer hohen Prioritat, um einen kompletten, giiltigen Datensatz in der 
gegebenen Zeit einlesen zu konnen. Liefe dieser Prozess auf einer niedrigeren Ebene, 
wiirde die Selbstiiberwachung nicht fiinktionieren, da es aufgrund von Unter- 
brechungen nie zu einem kompletten Datensatz kame. Im Gegensatz dazu braucht die 
Berechnung keine hohe Prioritat, da sie keinem Zeitzwang unterliegt. 

[040] Im sensor- und applikationsspezifischen Programm gibt es jeweils Variablen, die 

den Wert der vorherigen Messung enthalten (Dampfungswerte, Rauschfilter). Dabei ist 
zu beachten, dass sich diese Werte sehr schnell andern, da ein kompletter Programm- 
durchlauf im DSP weniger als 10 ms dauert. Fiir die Kontrollrechnung sind die 
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Zahlenwerte zum relevanten Zeitpunkt erforderlich, da sonst ein bitgenauer Vergleich 
nicht moglich ist. Dies wird durch schnelles Einlesen der betroffenen Variablen unter 
Verwendung von „Inline-Code" erreicht, also mit optrmiertem Code auf Assembler- 
Ebene, der auf das Aufrufen von Registern und langwierige Stackoperationen 
verzichtet. 

[041] Jedes neue Datenpaket, das den DSP erreicht, lost einen Interrupt aus, der sich auch 
fur die Synchronisation der Selbstiiberwachung einsetzen lasst In der Interrupt- 
Routine wird bei jedem Aufruf automatisch ein Zahler (Framecounter) inkrementiert. 
Als zusatzliche Funktionalitat ist das Einlesen der Statusvariablen bei einem 
bestimmten Stand des Framecounters integriert. 

[042] Die Messwerterfassung beinhaltet das Einlesen der Druck- und Temperaturwerte 
des Sensor- ASIC, die zwischengespeicherten Ergebnisse der vorangegangenen 
Berechnung sowie den berechneten Ausgangswert des DSP. Nach dem Einlesen der 
Werte ist zu uberprufen, ob die eingelesenen Werte, tatsachlich den gleichen Mes- 
szeitpunkt reprasentieren. 

[043] AnschlieBend wird das DSP-Programm vom Microcontroller 25 ausgefuhrt, um die 
Kontrollrechnung anhand der eingelesenen Daten durchzufuren. Nach dem Ende der 
Kontrollrechnung findet ein Vergleich von Rechen- und Messwert statt. Stellt der Mi- 
crocontroller eine zu grofie Differenz zwischen Rechen- und Messwert fest, wird das 
Kommunikations-ASIC angewiesen, einen Fehlerstrom auszugeben und bei Bedarf 
noch eine Fehlermeldung uber HART auszugeben. 
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Anspriiche 

[001] 1. Prozessmessgerat mit einem ersten Prozessor 21, welcher in ersten Verarbei- 

tungszyklen mit einem ersten Algorithmic eine Messwertverarbeitung durchfii 
hrt; und einen zweiten Prozessor 25, welcher Koordinations und/oder Kommuni- 
kationsauf gaben wahrnimmt, wobei ferner der zweite Prozessor 25 in Zeitabsta 
nden, die groBer sind als der erste Verarbeitungszyklus einen Kontrolldatensatz 
aus dem ersten Prozessor 21 ausliest, und anhand des Kontrolldatensatzes den 
ersten Algorithmus ausfiihrt um die korrekte Funktion des ersten Prozessors zu 
verifizieren. 

[002] 2. Prozessmessgerat nach Anspruch 1, wobei der Kontrolldatensatz Roh- 

messwerte eines Sensors und Zustandsvariablen sowie die von dem ersten 
Prozessor daraus errechneten zugehorigen Ergebniswerte enthalt. 

[003] 3. Prozessmessgerat nach Anspruch 1 oder 2, wobei die Verifizierung durch 

direkten Vergleich des aus dem ersten Prozessor 21 ausgelesenen Ergebnis mit 
dem Ergebnis aus der Durchfuhrung des ersten Algorithmus durch den zweiten 
Prozessor 25 erfolgt. 

[004] 4. Prozessmessgerat nach einem der Anspriiche 1 bis 3, wobei der zweite 

Prozessor einen Programmspeicher umfasst und den Programmspeicher mittels 
einer Priif summe oder einem CRC regelmaBig verifiziert. 

[005] - 5. Prozessmessgerat nach einem der Anspriiche 1 bis 4, wobei der zweite 

Prozessor weiterhin einen Schreib/Lesespeicher, den der zweite Prozessor mittels 
Testpattera regelmaBig auf statische Fehler ubeipriif en kann. 

[006] 6. Prozessmessgerat nach einem der Anspriiche 1 bis 5, wobei der zweite 

Prozessor einen Schreib/Lesespeicher, welchen der zweite Prozessor mittels Prii 
falgorithmen regelmaBig auf statische Fehler ubeipriifen kann. 

[007] 7. Prozessmessgerat nach einem der Anspriiche 1 bis 6, wobei der zweite 

Prozessor die Daten im Programmspeicher des ersten Prozessors mit einem lokal 
gespiegelten Speicherbereich vergleicht und verifiziert. 

[008] 8. Prozessmessgerat nach einem der Anspriiche 1 bis 7, wobei der zweite 

Prozessor bekannte Konstanten im Datenspeicher des ersten Prozessors durch 
Vergleich mit lokal gespiegelten Werten verifiziert. 

[009] 9. Prozessmessgerat nach einem der Anspriiche 1 bis 8, wobei der zweite 

Prozessor Konfigurationsregister des ersten Prozessors durch Vergleich mit lokal 
gespiegelten Werten regelmaBig verifiziert. 

[010] 10. Prozessmessgerat nach einem der Anspriiche 1 bis 9, wobei das Prozess- 

messgerat eine 4..20 mA Zweitdraht-Schnittstelle umfasst, und wobei eine 
Watchdog-Schaltung die Funktion des zweiten Prozessors und eines zugehorigen 



WO 2005/064424 PCT/EP2004/053514 
EH0674-WO 



Taktgebers uberprilft und im Fehlerfall unabhangig von dem ersten Prozessor 21 
und dem zweiten Prozessor 25 tiber den 4..20 mA Signalstrom einen Fehler si- 
gnalisiert. 
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